越秀集团

需求背景：

越秀集团目前通过堡垒机实现了服务器操作系统特权账号的管理和运维审计，但软件程序代码中特权账号密码对于越秀集团系统管理员及第三方运维人员是“可见、可知、可用”，存在对数据库越权操作及数据泄露风险，且数据库运维未能做到“事前审批，事中监控”，仅实现“事后审计”的追责。

另一方面，近2年来越秀集团出现多起阿里云PaaS服务访问密钥（AccessKey）明文泄露在互联网公开代码仓库github的事件，急需制定应用内嵌账号的保护基线，配合相关技术工具，避免同类事件再次发生。

随着新的等级保护技术要求（等保2.0标准）发布，其对特权账号安全管理提出了更具体的要求，对越秀集团信息系统特权账号加强管理已迫不容缓

 解决方案

通过特权账号管理系统的实施，实现数据库账号运维账号的自动化管理（即自动化发现、托管、轮换密码等过程），在保证运维人员正常使用和被审计的前提下，还能够严格管控敏感数据，减少数据泄露的风险；实现内嵌密码动态调用，保证应用程序在密码（阿里云AK/SK）轮换的过程中不中断。

通过以账号为维度，真实掌握数据中心特权账号变化趋势,除了已经纳管的账号，对整个数据中心的账号分布情况，增长率等情况进行直接了解，形成准确的、清晰的账号台账，降低IT设备存在幽灵账号和后门账号等风险。

 项目收益

1. 通过账号自动发现，解决了特权账号的动态变化，人工管理难，人工工作量大的问题。

2. 以自动化密码管理，显著提升运维人员的工作效率，可以节约大量的人力成本来对密码进行管理，在提高了安全性的情况下，人员的工作效率还更高。

3. 消除明文内嵌在应用程序中的AK/SK，对AK/SK进行统一的管理，并自动轮换AK/SK的时候，不会影响业务系统的正常运行，业务系统无需重启，减少AK/SK明文暴露在公网的现象，规避风险。

4. 对特权账号的使用及操作进行强审计，能够提供详细可靠的审计日志，满足监管要求。

对敏感数据访问进行有效的控制与脱敏，防止误操作与核心数据外泄。